Como Deus Finanças foi explorado por US$ 13,4 milhões no Fantom
O ataque, que utilizou um empréstimo instantâneo, foi o segundo em dois meses.
O aplicativo de Finanças descentralizadas (DeFi) Deus Finanças foi explorado pela segunda vez em dois meses, com o invasor ganhando mais de US$ 13,4 milhões em Criptomoeda nas primeiras horas da Ásia de hoje, disseram pesquisadores de segurança da PeckShield em um tweet . A exploração ocorreu na Rede Fantom .
- Deus permite que os desenvolvedores criem serviços financeiros, como negociação de futuros, empréstimos e opções em sua plataforma. (Aviso Importante: O redator deste relatório é um provedor de liquidez para Deus no Ethereum, Fantom e BNB Chain.)
- O invasor usou um empréstimo instantâneo para enganar a maneira como os contratos inteligentes de Deus leem os dados nos pools de liquidez da plataforma. Isso permitiu que o invasor inflacionasse artificialmente o valor de alguns ativos, emprestasse fundos e obtivesse lucro após pagar o empréstimo.
- Cerca de US$ 143 milhões foram emprestados como umempréstimo instantâneo , parecem mostrar os dados do blockchain. O hacker conseguiu lucrar US$ 13,4 milhões. PeckShield disse que as perdas totais no protocolo podem ser muito maiores.
- O ecossistema Deus compreende dois tokens: DEUS e DEI. DEUS é o token de governança da plataforma. Cunhar DEI, uma moeda estável indexada 1:1 ao dólar americano, queima DEUS, e resgatar DEI cunha DEUS, de acordo com documentos do desenvolvedor .
- A exploração de quinta-feira foi a segunda em dois meses no protocolo, que foi atacado de maneira semelhante em março por US$ 3 milhões.
Como ocorreu o ataque
Usando o empréstimo rápido, os invasores de Deus foram capazes de manipular temporariamente os preços em um pool de liquidez que consiste na USD Coin (USDC) stablecoin e DEI, e usar o preço manipulado do DEI para emprestar e drenar o pool.
Os empréstimos instantâneos permitem que os usuários do DeFi contraem milhões de dólares como empréstimo sem garantia. Isto T é magia Cripto ou dinheiro grátis: o empréstimo deve ser reembolsado antes do término da transação ou o contrato inteligente reverte a transação – como se o empréstimo nunca tivesse existido.
Por outro lado, os pools de liquidez, como o pool USDC e DEI em Deus, dependem dos chamados oráculos para garantir que sejam precificados corretamente em todos os momentos e que qualquer empréstimo esteja dentro de limites que T excedam o valor total desses pools. . Oráculos são ferramentas baseadas em blockchain que fornecem contratos inteligentes com informações externas confiáveis. Eles são necessários porque os blockchains podem armazenar dados de forma imutável, mas T podem verificar se os dados de entrada são precisos.
Na quinta-feira, os invasores conseguiram fazer um empréstimo instantâneo de mais de 143 milhões de USDC e usaram isso para trocar 9,5 milhões de DEI, de acordo com o PeckShield . Isso fez com que o preço do DEI subitamente se tornasse mais caro do que a taxa de câmbio normal de US$ 1.
O invasor então usou cerca de 71.000 DEI para emprestar mais de 17,2 milhões de DEI usando preços manipulados. O empréstimo instantâneo foi então reembolsado e o invasor conseguiu embolsar US$ 13,4 milhões.
Os preços do DEUS caíram 16,5% nas últimas 24 horas, mostram dados da CoinGecko. A maior parte dessas perdas ocorreu depois que a exploração se tornou pública. Deus não respondeu a um Request de comentário até o momento da publicação.